Kategorie: Aufsichtsbehördliche Maßnahmen

Eingabe von falscher E-Mail-Adresse stellt keinen Datenschutzverstoß dar

13. Oktober 2021

Die norwegische Datenschutzbehörde äußerte sich vor kurzem, dass ein Unternehmen, das eine Email mit persönlichen Daten an eine falsche Email Adresse geschickt hatte, keinen Datenschutzverstoß begangen hatte.

Was war passiert?

Der Betroffene hatte sich bei der norwegischen Behörde gemeldet, nachdem seine Kaufbestätigung und Rechnung an eine andere Email-Adresse als die seine versandt wurden. Die Email-Adresse des tatsächlichen Empfängers gehörte einem anderen Kunden des Unternehmens und war bis zum „@“ identisch mit der des Betroffenen. Der Betroffene ging deshalb von einer unternehmensinternen Verwechslung aus und machte diese als Verstoß gegen die DSGVO geltend. Weiterhin kontaktierte er wiederholt das Unternehmen, um die Verwechslung anzuzeigen und seine Daten korrigieren zu lassen.

Wie äußerte sich die Datenschutzbehörde?

Die Datenschutzbehörde geht davon aus, dass in dem ursprünglichen Versand der Email kein Verstoß gegen die DSGVO zu sehen ist. Vielmehr schien der Betroffene selbst seine Email-Adresse falsch eingegeben zu haben. Jedoch kritisierte die Behörde, dass das Unternehmen auf die wiederholten Versuche zur Kontaktaufnahme durch den Betroffenen nicht reagierte. So dauerte es mehr als 6 Monate, bis eine Korrektur der Email-Adresse vorgenommen wurde. Dies kritisierte die Behörde vor allem mit Blick auf die einmonatige Frist, die sich aus Art. 12 Abs. 3 DSGVO ergibt und sah hierin einen Verstoß gegen die DSGVO. Maßnahmen ergreift die Behörde keine, sie weist aber auf ihre Protokollierung solcher Fälle hin.

Hamburger Datenschutzbehörde verhängt Bußgeld gegen Vattenfall in Höhe von knapp 900.000 Euro

27. September 2021

Der (interimsweise) amtierende Hamburger Datenschutzbeauftragte (HmbBfDI) Ulrich Kühn verhängte gegen den Energiekonzern Vattenfall jüngst ein Bußgeld in Höhe von ca. 900.000 Euro. Grund dafür war, dass Vattenfall Kundendaten ohne legitimen Grund gespeichert hatte. Zwar dürfen Energieversorger grundsätzlich bis zu 10 Jahren Kundendaten speichern, dies allerdings nur wenn ein Grund vorliegt, wie etwa dass diese Daten dem Finanzamt vorgelegt werden müssen. Alternativ kann auch eine Einwilligung der Kunden zur Speicherung vorliegen, was hier allerdings nicht der Fall war.

Im vorliegenden Fall hatte Vattenfall die gespeicherten Daten genutzt, um sogenannte „Bonusshopper“ als Neukunden abzulehnen. Bonusshoppper sind Kunden, die durch häufiges Wechseln ihrer Strom- und Gasverträge Geld sparen und Boni sammeln. Um solche von vorneherein auszusortieren und keinen Vertrag mit Ihnen einzugehen, hatte Vattenfall zwischen August 2018 und Dezember 2019 die Daten von potenziellen Neukunden mit älteren Kundendaten verglichen. So sollte festgestellt werden, ob die potenziellen Neukunden, die eine Anfrage für einen bestimmten Vertrag gestellt hatten, bereits früher einen Vertrag mit Vattenfall abgeschlossen hatten und dann gewechselt waren. Betroffen waren davon rund 500.000 Kunden.

Die Kunden wussten über diese Praxis nicht Bescheid, sodass HmbBfDI Kühn davon ausging, dass Vattenfall seiner Informationspflicht nicht nachgekommen sei. Das nun verhängte Bußgeld hätte deutlich höher ausfallen können, allerdings kooperierte Vattenfall umfassend mit der Hamburger Datenschutzbehörde. In dieser Zusammenarbeit wurde von Vattenfall ein Verfahren aufgebaut, mit dem sie in Zukunft Daten abgleichen dürfen. Voraussetzung dafür ist dann aber eine Einwilligung der Betroffenen.

Aufsichtsbehörde: Faxversand ist unsicheres Kommunikationsmittel

17. September 2021

Der hessische Datenschutzbeauftragte hat sich in einer Stellungnahme gegen die Übermittlung personenbezogener Daten per Fax ausgesprochen. Damit schließt er sich der Meinung anderer Aufsichtsbehörden an, die das Fax ebenfalls als nicht mehr zeitgemäß und nicht datenschutzkonform einstufen.

Als Begründung führte er an, dass es mittlerweile eine Vielzahl an sichereren Methoden gebe, um Nachrichten auszutauschen wie z.B. der verschlüsselte E-Mail-Versand. Derzeit gleiche eine Übermittlung per Fax aber vielmehr einer unverschlüsselten E-Mail. Daran problematisch sei insbesondere, dass durch die Eingabe einer falschen Faxnummer personenbezogene Daten Unbefugten gegenüber offenbart werden. Aber auch bei der Eingabe einer korrekten Faxnummer könne nicht sichergestellt werden, wer das Fax am anderen Ende in Empfang nehme. Dadurch ergeben sich Risiken für die Rechte und Freiheiten natürlicher Personen, die mit der DSGVO nicht in Einklang stehen.

Die DSGVO schreibt bestimmte Anforderungen vor, die es bei der Verarbeitung personenbezogener Daten zu berücksichten gilt. Dazu gehört gem. Art. 5 Abs. 1 lit. f DSGVO auch, dass die Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit einschließlich dem Schutz vor unbefugter Verarbeitung und unbeabsichtigtem Verlust gewährleistet. Die Einhaltung geeigneter technischer und organisatorischer Maßnahmen (vgl. Art. 32 DSGVO) spiele dabei eine zentrale Rolle. Diese könnten bei dem Faxversand nicht eingehalten werden.

Daher empfiehlt der hessische Datenschutzberauftragte grundsätzlich keine personenbezogenen Daten per Fax zu übermitteln und auf digitale Lösungen umzustellen. Nur in Ausnahmefällen z.B. aufgrund einer besonderen Eilbedürftigkeit und wenn zusätzliche Schutzmaßnahmen bei den Versendern und Empfängern getroffen worden sind, sollte auf das Faxgerät zurückgegriffen werden. Personenbezogene Daten, die besonders sensibel sind und damit einen hohen Schutzbedarf aufweisen, sollten gar nicht per Fax übermittelt werden.

Auf alternative Kommunikationsmittel verweist der Landesdatenschutzbeauftragte in seiner Stellungnahme. Um mit gutem Vorbild voranzugehen, führt seine Behörde keine Faxnummern mehr auf der Homepage.

TikTok im Fokus der irischen Datenschutzbehörde

16. September 2021

Die umstrittene chinesische App steht schon lange wegen ihrer datenschutzrechtlichen Praktiken in der Kritik. In den USA erhielt TikTok bereits Millionenstrafen für die Datenschutzrechtsverletzungen von Kindern und Jugendlichen. Nun hat auch die irische Datenschutzbehörde DPC Ermittlungen in zwei Fällen aufgenommen. Zum einen gehe es um die Verarbeitung von persönlichen Daten von Kindern und Jugendlichen und zum anderen um die Weitergabe von Daten nach China, ließ die DPC verlautbaren.

Gegenstand der Untersuchungen

Im Fokus der Untersuchungen steht, ob TikTok die Privatsphäre seine jugendlichen Nutzer:innen ausreichend schützt. Datenschützer:innen kritisieren unter Anderem, dass TikTok seine Nutzer nicht eindeutig und vor allem nicht in einer für Kinder und Jugendliche verständlichen Weise darüber informiere, welche personenbezogenen Daten zu welchem Zweck und aus welchem Rechtsgrund erhoben werden. Außerdem untersuchen die Behörden mögliche Datenabflüsse aus Europa in Drittstaaten wie China. Denn TikTok gehört zum chinesischen Konzern ByteDance mit Sitz in Peking- und in China müsse man mit einem unbeschränktem und anlasslosen Zugriff der Behörden auf die Daten rechnen, so Datenschutzrechtler.

Streit um die Zuständigkeit

Dass die irische Datenschutzbehörde nun ermittelt, ist keinesfalls selbstverständlich, hatte sie doch noch im letzten Jahr vehement ihre Zuständigkeit abgestritten. Im letzten Jahr hatten Dänemark, die Niederlande und Frankreich Untersuchungen gegen TikTok wegen möglicher Datenschutzverletzungen eingeleitet. Gibt es keinen zentralen EU-Sitz, können schließlich Datenschutzbehörden in jedem EU-Land eigenständig ermitteln. Dann hatte TikTok jedoch einen zentralen europäischen Sitz in Datenschutzangelegenheiten in Irland angekündigt. Gegen die Niederlassung von TikTok in Irland hatte sich die DPC lange Zeit gewehrt und bezweifelt, dass sich TikTok wirklich dauerhaft in Dublin niederlassen würde- während TikTok andere Datenschutzbehörden bereits auf die Hauptniederlassung in Irland verwiesen hatte. Für TikTok war dies zweifelsohne eine begrüßenswerte Situation.

Nun besteht Klarheit bezüglich der Zuständigkeit der irischen Datenschutzbehörde. Sie hat damit ein weiteres Verfahren von immenser Tragweite und Bedeutung neben denen gegen Facebook, Google und Twitter zu bewältigen. Viele befürchten aufgrund mangelnder Ressourcen und Personal, dass auch im Verfahren gegen TikTok die Untersuchung und Ahndung von etwaigen Datenschutzverletzungen nur schleppend vorangehen wird.

225 Millionen Euro Strafe gegen WhatsApp

3. September 2021

WhatsApp wurde von der irischen Datenschutzbehörde zu einer Rekordstrafe von 225 Millionen Euro verurteilt. Da WhatsApp zu Facebook gehört und der EU-Hauptsitz der Social-Media-Plattform in Irland liegt, ist die irische Aufsichtsbehörde für WhatsApp zuständig.

Die Strafe ist die Folge einer seit drei Jahren laufenden Untersuchung. Zu dem Zeitpunkt wurde in der EU eine neue DSGVO (Datenschutzgrundverordnung) aktiv, bei der es um personenbezogenen Datenaustausch zwischen Firmen und Nutzern geht. Gerügt wurde, dass das Unternehmen gegen die Transparenz bei der Weitergabe von Personendaten an andere Facebook-Unternehmen verstoßen habe. Auch habe es die Nutzer nicht ausreichend über die Verarbeitung ihrer Daten informiert. WhatsApp hat bereits angekündigt Berufung einzulegen.  


Die irische Datenschutzbehörde teilte mit, dass sie ihre Entscheidung, wie in der DSGVO vorgeschrieben, „nach einer langwierigen und umfassenden Untersuchung“ anderen nationalen Datenschutzbehörden vorgelegen und Einwände aus acht Ländern, darunter Deutschland, Frankreich und Italien, erhalten habe. Dabei stimmten einige Länder in gewissen Punkten nicht mit der irischen Aufsichtsbehörde überein; u.a. was die Höhe der Geldstrafe angehe oder auch gegen welche spezifischen Artikel der DSGVO vorliegend verstoßen werde.  Ende Juli forderte der Europäische Datenschutzausschuss die irische Datenschutzbehörde dann dazu auf, ihre Feststellungen zu überarbeiten und die vorgeschlagene Geldbuße neu zu bewerten.
Eine höhere Strafe gab es bisher nur bei Amazon, die im Juli von der luxemburgischen Datenschutzbehörde eine Strafe in Höhe von 886,6 Millionen Euro auferlegt bekommen haben.

Ein Firmensprecher erklärte, WhatsApp sei bestrebt, einen sicheren und privaten Dienst anzubieten. „Wir haben uns dafür eingesetzt, dass die von uns bereitgestellten Informationen transparent und umfassend sind, und werden dies auch weiterhin tun.“ WhatsApp sei mit der aktuellen Entscheidung der irischen Datenschutzkommission in Bezug auf die Transparenz, die man den Menschen im Jahr 2018 geboten haben, nicht einverstanden. Die Strafe sei völlig unverhältnismäßig. „Wir werden gegen diese Entscheidung Rechtsmittel einlegen“, erklärte der WhatsApp-Sprecher.

Hamburger Aufsichtsbehörde warnt formal vor dem Einsatz von Zoom

16. August 2021

Der Hamburgische Beauftagte für Datenschutz und Informationsfreiheit (HmbBfDI) hat heute in einer Pressemitteilung bekannt gegeben, dass er die Hamburger Senatskanzlei vor dem Einsatz der Videokonferenzlösung von Zoom Inc. in der sog. „on-demand-Variante“ offiziell gewarnt habe.

Hintergrund

Zoom ist ein US-amerikanisches Softwareunternehmen für Videokonferenzen. Dessen Einsatz seit dem sog. „Schrems-II-Urteil“ des EuGH und dem damit verbundenen Wegfall des Privacy Shields nur unter Einhaltung sehr strenger Voraussetzungen möglich ist. Problematisch an einem Einsatz von Zoom ist insbesondere der Datentransfer in die USA, dessen Rechtsgrundlage durch das Schrems-II-Urteil gekippt wurde, da US-Geheimdienste umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben und damit eine Massenüberwachung befürchtet wird. Daher ist der Einsatz von US-Konferenzdiensten wie Zoom nur in Ausnahmefällen möglich und bedarf einer genauen Prüfung, deren Vorgaben der europäische Datenschutzausschuss in seinen Empfehlungen formuliert hat.

Sachverhalt

Diese strengen Voraussetzungen liegen bei der Senatskanzlei und dem geplanten Einsatz von Zoom nicht vor.

Nachdem die Senatskanzlei die Hamburger Aufsichtsbehörde zwar frühzeitig über entsprechende Pläne zum Einsatz von Zoom informiert habe, sei die Senatskanzlei in der Folge den Aufforderungen der Aufischtsbehörde entsprechende Unterlagen oder Argumente vorzulegen, die eine andere rechtliche Bewertung zuließen, nicht nachgekommen. Deshalb sei nach Einleitung eines formalen Verfahrens durch Anhörung der Senatskanzlei Mitte Juni 2021 nun die formale Warnung nach Art. 58 Abs. 2 lit. a DSGVO der erforderliche nächste Schritt gewesen.

Befugnisse der Aufsichtsbehörden

Nach Art. 58 DSGVO verfügt jede Aufsichtsbehörde über vielfältige Untersuchungs-, Abhilfe- oder Genehmigungsbefugnisse. Dazu gehört gem. Art 58 Abs. 2 lit. a DSGVO u.a. auch die Befugnis, einen Verantwortlichen oder Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen die DSGVO verstoßen. Dies ist hier geschehen. Der HmbBfDI begründet dies damit, dass neben der Wirtschaft auch die öffentliche Verwaltung die strengen Anforderungen erfüllen müssen, die an einen Drittstaatentransfer gestellt werden. Zudem gebe es auch europäische Dienstleister, die Videokonferenzsysteme in den eigenen Rechenzentren anbieten und die erfolgreich genutzt werden könnten. Daher sei für den HmbBfDI unverständlich, weshalb auf einen US-Anbieter zurückgegriffen werden müsse, dessen Einsatz rechtlich hoch problematisch sei.

Ausblick

Die von dem HmbBfDI ergriffenen Maßnahmen zeigen einmal mehr, dass der Einsatz von US-amerikanischen Tools rechtlich sehr schwierig ist und eine Nutzung von den Aufsichtsbehörden genau geprüft wird.

Folgt die Senatskanzlei der offiziellen Warnung nicht und führt Zoom dennoch ein, so kann der Hamburger Datenschutzbeauftragte nach Art. 58 Abs. 5 DSGVO diesen Verstoß den Justizbehörden zur Kenntnis bringen und ggf. die Einleitung eines gerichtlichen Verfahrens betreiben oder sonstige Maßnahmen ergeifen.

Bußgeld wegen veralteter Website-Software

4. August 2021

Die Nutzung einer veralteten Website-Software birgt datenschutzrechtliche Risiken, auf die in dem vorliegenden Fall eindeutig vom Landesbeauftragten für den Datenschutz Niedersachen (LfD) reagiert wurde. 

Weil ein Unternehmen aus Niedersachsen für das Betreiben ihrer Website eine veraltete Software nutzte, die den aktuellen technischen Standards nicht mehr entsprach, wurde gegen das Unternehmen ein Bußgeld in Höhe von 65.000 Euro durch den LfD verhängt. Im 26. Tätigkeitsbericht 2020 des LfD wird auf die zunehmende Komplexität von Verarbeitungsprozessen aufgrund der Digitalisierung in Wirtschaft und Verwaltung hingewiesen. Dabei ist ein deutlicher Anstieg von Meldungen und Beschwerden im Jahr 2020 zu verzeichnen.

Die technischen Standards, die die DSGVO für Verarbeitungsprozesse fordert, sollen einen umfassenden Schutz von personenbezogenen Daten sicherstellen. Diese technischen Standards sind zur Bestimmung von angemessenen geeigneten technischen und organisatorischen Maßnahmen zu berücksichtigen und sollen sich nach dem aktuellen technischen Fortschritt richten.

Grundlage hierfür sind die Vorschriften Art. 25 und Art. 32 der DSGVO. Werden die erforderlichen technischen Standards hiernach nicht beachtet kommt es zu einem Verstoß gegen datenschutzrechtliche Grundsätze.

In dem vorliegenden Fall (S. 97 des Tätigkeitsberichts) wurde eine Softwareanwendung genutzt, die seit spätestens 2014 veraltet ist und von dem Hersteller nicht mehr mit Sicherheitsupdates versorgt und aktualisiert wird. Dies hatte zur Folge, dass die Software Sicherheitslücken aufwies, auf die der Hersteller aber auch hingewiesen hatte. Diese Lücken ermöglichten potentiellen Angreifern den Besitz an den Zugangsdaten aller in der Anwendung registrierten Personen. Des Weiteren war es möglich, dass ganze Datenbanktabellen ausgegeben werden konnten. Auch war die Berechnung der Passwörter durch mögliche Angreifer erleichtert, obwohl diese mit der kryptographischen Hashfunktion MD5 gesichert worden waren.

Weil den erforderlichen technischen Maßnahmen nicht Rechnung getragen wurde, wurde ein Verstoß gegen Art. 32 Absatz 1 der DSGVO festgestellt und das Bußgeld verhängt. Die Implementierung weiterer technischer Maßnahmen, sei für das Unternehmen mit einem verhältnismäßigen Aufwand durch neuere Versionen der Software möglich gewesen.

EU Kommission nimmt Angemessenheitsbeschluss zum Vereinigten Königreich an

5. Juli 2021

Die Europäische Kommission hat am 28. Juni 2021 den Angemessenheitsbeschluss im Rahmen der Datenschutzgrundverordnung angenommen. Das Datenschutzniveau in Großbritannien wurde damit von der Kommission als angemessen für europäische Standards anerkannt und personenbezogene Daten können nun trotz Brexit ungehindert aus der Europäischen Union in das Vereinigte Königreich übermittelt werden.

Zur Begründung führte die Kommission aus, dass das Vereinigte Königkreich weiterhin auf den selben Regeln basiert, die galten als es noch Mitglied der EU war. Auch die Grundsätze, Rechte und Pflichten der DSGVO seien vollständig in das seit dem Brexit geltende Rechtssystem übernommen worden.

Im Vorfeld war der Angemessenheitsbeschluss häufig wegen des ungehinderten und unkontrollierten Zugriffs britischer Geheimdienste auf personenbezogene Daten in Kritik geraten. Zudem hatte der Europäische Gerichtshof für Menschenrechte (EGMR) im Mai erst ein Urteil erlassen, indem es die Massenüberwachung durch britische Geheimdienste als Verstoß gegen die Menschenrechte gewertet hatte. Auch dieser Kritik begegnete der Beschluss, indem er dem Vereinigten Königreich in Bezug auf den Zugriff auf personenbezogene Daten starke Garantien zusprach. Ein wichtiges Element des Beschlusses ist daher, dass insbesondere die Geheimdienste bei Datenerhebungen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan unterliegen. Ebenso, dass alle ergriffenen Maßnahmen notwendig und verhältnismäßig sein müssen.

Neu an dem Angemessenheitsbeschluss ist auch, dass dieser erstmals eine sog. Verfallsklausel („sunset clause“) enthält, durch den die Geltungsdauer des Beschlusses auf vier Jahre begrenzt wird. Während dieser Zeit hat die Kommission angekündigt, dass Datenschutzniveau im Vereinigten Königreich ständig im Blick zu behalten und im Falle von Abweichungen entsprechend einzugreifen. Sollte nach Ablauf der vier Jahre weiterhin ein angemessenes Datenschutzniveu vorliegen, kann der Beschluss auch verlängert werden.

Durch den Angemessenheitsbeschluss hat die Europäische Kommission eine Rechtsgrundlage für Datenübermittlungen in das Vereinigte Königreich für die nächsten vier Jahre geschaffen. Sollte der Beschluss nicht zufrieden stimmen, sind Klagen gegen diesen – ähnlich wie dies mit dem Privacy-Shield im Schrems-II-Urteil geschah – möglich.

Bei Anfangsverdacht einer Zweckentfremdung: Airbnb muss Daten von Vermietern herausgeben

2. Juli 2021

In einer vor kurzem ergangenen Entscheidung des VG Berlins (Urteil vom 23.06.2021, Az. 6 K 90/20) wurde das bekannte Online-Portal Airbnb dazu verurteilt, Behörden Daten von Vermietern herauszugeben, bei denen der Verdacht auf einen Verstoß gegen das Zweckentrfremdungverbot besteht. Ferner entschied das VG Berlin, dass Airbnb sich nicht auf das irische Datenschutzrecht berufen kann.

Der Sachverhalt

Angefangen hatte es mit einem Bescheid des Berliner Bezirksamts Tempelhof-Schöneberg, das Airbnb dazu verpflichten wollte, Namen und Anschriften zahlreicher Anbieter, deren Inserate in online veröffentlichten Listen aufgezählt waren, sowie die genaue Lage der von ihnen angebotenen „Ferienwohnung“ zu übermitteln. Hintergrund des Bescheids ist das Gesetz über das Verbot der Zweckentfremdung von Wohnraum bzw. Zweckentfremdungsverbot-Gesetz (ZwVbG). Aufgrund der ohnehin schon knappen Wohnraumsituation, soll damit verhindert werden, dass vorhandener Wohnraum zu Ferienwohnungen umfunktioniert wird. Das Bezirksamt sah in vielen Fällen einen Verstoß gegen das Zweckentfremdungsverbot und forderte daraus resultierend die entsprechenden Daten von Airbnb an. Das Unternehmen kam dem aber nicht nach, sondern hielt die Norm, auf die sich die Behörde stütze, für verfassungswidrig. Ferner werde von dem in Dublin ansässigen Unternehmen verlangt, gegen irisches Datenschutzrecht zu verstoßen. Dementsprechend wollte Airbnb der Auskunftspflicht der Behörden nicht nachkommen und erhob Klage vor dem VG Berlin.

Die Entscheidung des VG Berlin

Das VG Berlin hat die Klage von Airbnb überwiegend abgewiesen. Die vom Bezirksamt damals geltende Rechtsgrundlage in Form von § 5 Absatz 2 Satz 2 und 3 ZwVbG a.F. hielt das Gericht nicht für verfassungsrechtlich bedenklich. Die Vorschrift greife zwar in das Grundrecht auf informationelle Selbstbestimmung ein, sei jedoch insbesondere verhältnismäßig, hinreichend bestimmt und normenklar. Auch sei die Vorschrift mit dem Unionsrecht vereinbar.

Aus datenschutzrechtlicher Sicht besonders interessant ist aber, dass die zuständige Kammer des VG Berlin entschied, Airbnb könne sich nicht auf irisches Datenschutzrecht berufen. Als Begründung legte die Kammer dar, dass das sogenannte Herkunftslandprinzip hier keine Anwendung finde.

Allerdings ist sich das VG Berlin der grundsätzlichen Bedeutung des Urteils bewusst und hat deshalb die Berufung zum Oberverwaltungsgericht Berlin-Brandenburg zugelassen. Über den weiteren Verfahrensverlauf werden wir Sie natürlich hier im Datenschutzticker informieren.

Im Lichte von Schrems II: Koordinierte Prüfung internationaler Datentransfers durch Datenschutzbehörden

9. Juni 2021

In vor kurzem herausgegebenen Pressemitteilungen verschiedener Datenschutzbehörden (etwa Berlin, Brandenburg, Bayern, Saarland, Rheinland-Pfalz, Niedersachsen und Hamburg) kündigen diese an, im Rahmen einer bundesländerübergreifenden Kontrolle Datenübermittlungen in Staaten außerhalb der europäischen Union oder des Europäischen Wirtschaftsraums zu kontrollieren.

Hintergrund und Anlass der Kontrolle ist die bereits im Juli 2020 ergangene „Schrems II“-Entscheidung des Europäischen Gerichtshofes (EuGH). In diesem erklärte der EuGH den Durchführungsbeschluss der Europäischen Kommission zum „EU-U.S. Privacy Shield“ für ungültig und sorgte damit für große Unsicherheit hinsichtlich des transatlantischen Datentransfers (wir berichteten).

Nun haben die Aufsichtsbehörden der verschiedenen Länder angekündigt, im Rahmen einer bundesländerübergreifenden Kontrolle die Datenübermittlungen von ausgewählten Unternehmen in Staaten außerhalb der Europäischen Union zu überprüfen. Das Ziel der Behörden ist dabei klar definiert und soll der „breiten Durchsetzung“ der Anforderungen des EuGHs aus der „Schrems II“-Entscheidung dienen, wie das Bayerische Landesamt für Datenschutzaufsicht in seiner Pressemitteilung verlauten lässt.
Neben den einzelnen Pressemitteilungen haben die Aufsichtsbehörden auch ihre sehr umfangreichen Fragebögen veröffentlicht. Diese können beispielsweise unter den folgenden Links abgerufen werden:

Beachtet werden sollte beim Verwenden der Fragebögen allerdings, dass bisher nicht ersichtlich ist, welche Behörde tatsächlich welchen Fragebogen verwendet. Die Entscheidung darüber, welcher Themenkomplex überprüft werden soll, obliegt jeder Behörde individuell. Wie großflächig die Überprüfungen tatsächlich stattfinden, wird sich erst in Zukunft zeigen. Über weitere Entwicklungen werden wir Sie hier im Datenschutzticker auf dem Laufenden halten.

1 2 3 25